Norman Hurens

A l’occasion de la lors de la conférence sur la sécurité CanSecWest à Vancouver qui se tiendra le 9 mars prochain, Google mettra en jeu la somme de 20 000 dollars à celui ou celle qui craquera son navigateur Chrome.

Lors du concours Pwn2Own 2011, les chercheurs vont donc se mesurer et appliquer leur savoir-faire  pour s’attaquer aussi à des machines fonctionnant sous Windows 7 ou Mac OS X et pour tenter de cracker Internet Explorer, Firefox, Safari et surtout Chrome.  Les premiers chercheurs qui pirateront IE, Firefox et Safari recevront 15 000 dollars et l’ordinateur où le navigateur est exécuté. Les prix sont de 5 000 $ de plus que ceux proposés à l’édition 2010 du Pwn2Own, et trois fois plus que le montant de 2009.  « Nous avons augmenté la somme totale distribuée pour établir les gains à 125 000 dollars » a déclaré Aaron Portnoy, responsable d’une équipe de chercheurs en sécurité d’HP TippingPoint. Cette société parraine le concours  et vient d’en fixer des règles dans un message sur un blog.

La nouveauté de cette année est la participation de Google. La société est le premier éditeur de navigateur à financer un prix. Aaron Portnoy « félicite l’équipe de sécurité Google pour avoir pris l’initiative de nous approcher à ce sujet ». Les règles de Chrome sont légèrement différentes que pour les autres navigateurs, car il est le seul des quatre à utiliser une « sandbox », un outil de défense pour éviter les attaques exploitant une faille. Avec ce bac à sable, les chercheurs ont besoin non pas d’une mais de deux vulnérabilités: la première pour que leur code d’attaque contourne la sandbox, et une seconde pour exploiter les failles de Chrome.  D’autres éditeurs de logiciels ont suivi les traces de Chrome pour essayer de rendre leurs applications plus sécurisées. L’année dernière, par exemple, Adobe a ajouté un bac à sable – provenant  en partie du travail de Google – à son programme PDF  Reader.

Chrome se met en avant et la sand box aussi

Pour repartir avec les 20 000 dollars promis par Google le premier jour du Pwn2Own, les chercheurs devront trouver et exploiter deux vulnérabilités dans le code du navigateur. Lors du deuxième et troisième jour du concours les chercheurs pourront utiliser un bug non-Chrome, par exemple celui de Windows, pour sortir de la sandbox. Si une attaque arrive  lors du deuxième et troisième jour, les apprentis pirates gagneront  20 000 dollars, mais seulement de 10 000 proviendront de l’éditeur de Mountain View; TippingPoint complétera l’autre moitié. La participation de Google au Pwn2Own 2011 peut être considérée comme une marque de confiance dans la sécurité de son navigateur. Si Chrome a été un des navigateurs cibles aux différentes éditions du concours depuis 2 ans, aucun chercheur n’a réussi à le craquer.

IE, Firefox et Safari sont eux déjà tombés lors des deux dernières années, de différentes manières rendant le concours un peu embarrassant pour les éditeurs. En 2009, un chercheur – un informaticien allemand qui n’a donné que son prénom, Nils – a réussi à pirater les trois navigateurs. Grâce à cela, il a empoché 15 000 dollars, soit 5 000 dollars pour chaque hack. Charlie Miller, le seul chercheur à avoir remporté des prix Pwn2Own trois années consécutives, ne souhaitait pas récidiver cette année, mais l’annonce pour Chrome l’a intrigué. « Pwn2Own offre maintenant 20k pour l’attaque sur Chrome », a inscrit Charlie Miller sur Twitter. « Cela sera dur et je suis heureux que Mac OS X ne dispose pas de sandbox pour son navigateur ».

TippingPoint va aussi focaliser le  concours Pwn2Own sur les mobiles où les chercheurs tenteront de pirater les smartphones sous iOS, Android, Windows Phone 7 et BlackBerry OS. Les attaques réussies seront rémunérées à hauteur de 15 000 dollars.